JWT通俗易懂_jwt生成

JWT

简介

JWT：JSON Web Token （令牌）

是什么？

token是按照一定的规则生成的一个字符串，字符串里面可以保护用户信息

这个规则是不太一样的，一般采用通用，官方的规则 这个就是jwt

jwt就是给我们定制好了规则，使用jwt规则就可以生成字符串，里面就包含用户信息了

JWT就是通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密，签名等相关处理。

使用场景：

1、后端系统要前端系统访问的时候需要携带一个令牌，如果没有携带或者令牌不对那就不给访问

2、在系统之间传递数据，如果A系统在给B系统传递数据的时候，对数据进行一个加密，B系统看看这个数据是不是被篡改了，是否是A系统发的数据。 数字签名功能

JWT能做什么

1、授权

这个是使用JWT最常见的方案，一旦用户登录，每个后续请求将包括JWT，从而允许用户访问该令牌允许的路由。服务和资源。单点登录是当今广泛使用JWT的一项功能。因为它的开销很小并且可以在不同域中轻松使用

2、信息交换

对于安全的在各⽅之间传输信息⽽⾔，JSON Web Tokens⽆ 疑是⼀种很好的⽅式。因为JWT可以被签名，例如，⽤公钥/私钥对，你可以确定发送⼈就是它们 所说的那个⼈。另外，由于签名是使⽤头和有效负载计算的，您还可以验证内容没有被篡改。

1、认证方式

我们知道，http协议本身是一种无状态的协议。而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证，那么下一次请求时，用户还要再一次进行用户认证才行，因为根据http协议，我们并不能知道是哪个用户发出的请求，所以为了让我们的应用能识别是哪个用户发出的请求，我们只能在服务器存储一份用户登录的信息，这份登录信息会在相应时传递给浏览器，告诉其保存为cookie，以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自哪个用户了。传统的Session认证

问题：每个用户经过认证之后，服务端都要做一次记录，session保存在内存，服务端开销增大

2、session保存在内存中的话，意味着用户下次请求还必须要请求到这台服务器上， 这样才能拿到授权资源，这样在分布式的应用上，相应的限制了负载均衡的能力。限制了应用的扩展能力。

3、cookie如果被截获，用户就很容易受到跨站请求伪造的攻击。

基于JWT认证

1、⾸先，前端通过Web表单将⾃⼰的⽤⼾名和密码发送到后端的接⼝。这⼀过程⼀般是⼀个HTTP POST请求。建议的⽅式是通过SSL加密的传输(https协议) ，从⽽避免敏感信息被嗅探。

2、后端核对⽤⼾名和密码成功后，将⽤⼾的id等其他信息作为JWT Payload (负载)，将其与头部分别 进⾏Base64编码拼接后签名，形成⼀个JWT(Token)。形成的JWT就是⼀个形同11. zzz. xxx的字符 串。token head.payload.signature

3、后端将JWT字符串作为登录成功的返回结果返回给前端。 前端可以将返回的结果保存在 localStorage或sessionStorage上， 退出登录时前端删除保存的JWT即可。

4、前端在每次请求时将JWT放⼊HTTP Header中的Authorization位。 (解决XSS和XSRF问题)

5、后端检查是否存在，如存在验证JWT的有效性。

检查签名是否正确;

检查Token是否过期;

检查Token的接收⽅是否是⾃⼰(可选)

6、验证通过后后端使⽤JWT中包含的⽤⼾信息进⾏其他逻辑操作，返回相应结果。

JWT优势

1. 简洁(Compact): 可以通过URL，POST参数或者在HTTP header发送，数据量⼩，传输速度快
2. ⾃包含(Self-contained):负载中包含了所有⽤⼾所需要的信息，避免了多次查询数据库
3. 因为Token是 以JSON加密的形式保存在客⼾端的，所以JWT是跨语⾔的，原则上任何web形式都 ⽀持。
4. 不需要在服务端保存会话信息，特别适⽤于分布式微服务。

JWT结构

1. header

标头通常由两部分组成: 令牌的类型(即JWT) 和所使⽤的签名算法，例如HMAC、SHA256或RSA。 它会使⽤Base64 编码组成JWT 结构的第⼀部分。

注意:Base64是⼀ 种编码，也就是说，它是可以被翻译回原来的样⼦来的。它并不是⼀种加密过程。

{
"alg":"HS256",
"typ":"JWT"
}
1
2
3
4

2. Payload

令牌的第⼆部分是有效负载，其中包含声明。声明是有关实体(通常是⽤⼾)和其他数据的声明。同样 的，它会使⽤Base64 编码组成JWT结构的第⼆部分

{
"sub" : "HS256"
"name" : "yjiewei"
"admin" : "true"
}
1
2
3
4
5

3. Signature

header和payload都是结果Base64编码过的，中间⽤.隔开，第三部分就是前⾯两部分合起来做签名，密钥绝对⾃⼰保管好，签名值同样做Base64编码拼接在JWT后⾯。（签名并编码）

HMACSHA256 (base64Ur1Encode(header) + "." + base64Ur1Encode(payload) , secret);
1

签名目的

最后一步签名的过程，实际上是对头部以及负载内容进行签名，防止内容被篡改，如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合形成新的JWT的话，那么服务器端会判断出新的头部和负载形式的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务器加密时用的密钥的话，得出来的签名也是不一样的。

信息安全问题

Base64是一种编码可逆的，因此不应该在负载里面加入任何敏感的数据。

jwt生成的字符串包含有三部分

1、 jwt头信息部分

2、在效载荷 包含主体信息（用户信息）

3、签名哈希 就是一个防伪标志

使用

1、引入

<!--引⼊jwt-->
<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.10.3</version>
</dependency>
1
2
3
4
5
6

2、生成token

public class Jwt {
  /**
* 获取JWT令牌
*/
  @Test
  public void getToken() {
    Map<String, Object> map = new HashMap<>();
    Calendar instance = Calendar.getInstance();
    instance.add(Calendar.SECOND, 2000);
    /**
* header可以不写有默认值
* payload 通常⽤来存放⽤⼾信息
* signature 是前两个合起来的签名值
*/
    String token = JWT.create().withHeader(map) //header
      .withClaim("userId", 21)//payload
      .withClaim("username", "yjiewei")//payload
      .withExpiresAt(instance.getTime())//指定令牌的过期时间
      .sign(Algorithm.HMAC256("!RHO4$%*^fi$R")); //签名，密钥⾃⼰记住
    System.out.println(token);
  }
  @Test
  public void tokenVerify() {
    // token值传⼊做验证
    String token =
      "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjkyMDg0NjgsInVzZXJJZCI6MjEsIn
      VzZXJuYW1lIjoieWppZXdlaSJ9.e4auZWkykZ2Hu8Q20toaks-4e62gerPlDEPHvhunCnQ";
      /**
* ⽤⼾Id：21
* ⽤⼾名：yjiewei
* 过期时间：Tue Aug 17 21:54:28 CST 2021
*/
      JWTVerifier jwtVerifier =
      JWT.require(Algorithm.HMAC256("!RHO4$%*^fi$R")).build();
    DecodedJWT decodedJWT = jwtVerifier.verify(token); // 验证并获取解码后的
    token
      System.out.println("⽤⼾Id：" + decodedJWT.getClaim("userId").asInt());
    System.out.println("⽤⼾名：" +
                       decodedJWT.getClaim("username").asString());
    System.out.println("过期时间：" + decodedJWT.getExpiresAt());
  }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

工具类

Java就是封装抽象封装抽象…所以这⾥也封装⼀个⼯具类。

package com.fly.common.JWT;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

public class JWTUtil {
    /**
     * 密钥要⾃⼰保管好
     */
    private static String SING = "fly";

    /**
     * 1、传⼊payload信息获取token
     *
     * @param map payload
     * @return token
     */
    public static String getToken(Map<String, String> map) {
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE, 3); //默认3天过期

        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();

        //payload
        map.forEach((k, v) -> {
            builder.withClaim(k, v);
        });

        String token = builder.withExpiresAt(instance.getTime()).sign(Algorithm.HMAC256(SING));//指定令牌的过期时间
        return builder.sign(Algorithm.HMAC256(SING));
    }

    /**
     * 2、验证token  验证合法性
     */
    public static DecodedJWT verify(String token) {
        //如果有任何验证异常，此处都会抛出异常
        return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }

    /**
     * 获取token中的payload  获取信息
     */
    public static DecodedJWT getPayloadFromToken(String token) {
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
        return verify;
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56